F-Secure: Firefox Cookie Bug

Giorgius · 16-02-2007, 11.24.18

There's a new bug reported in the way Firefox handles writes to the 'location.hostname' DOM property. The vulnerability could potentially allow a malicious website to manipulate the authentication cookies for a third-party site. The bug was submitted by Michal Zalewski and was tested with the current version of Firefox...

Leggi: http://www.f-secure.com/weblog/

A demo of the vulnerability and a suggested work-around can be found here:

Test Bug: http://lcamtuf.dione.cc/ffhostname.html

16-02-2007, 13.07.11

Uhm..se era di IE7, credo che in due ore questa pagina era piena

P8257 WebMaster · 16-02-2007, 13.10.34

Quota:

Inviato da Semi.genius

Uhm..se era di IE7, credo che in due ore questa pagina era piena

Eh si .. è proprio vero ..

[SARCASTIC MODE ON]
ma dal gruppo di ricerca hanno detto che non è un bug, è una feature...

[/SARCASTIC MODE OFF]

harman · 16-02-2007, 13.44.55

E se fosse stato qui...
E se fosse stato lì...

josefh♣ · 16-02-2007, 15.47.45

Michal Zalewski, noto ricercatore di sicurezza , ha segnalato e descritto due giorni fa una vulnerabilità di sicurezza critica in Firefox 2.0.0.1, la versione più recente del famoso browser open-source. Il problema di sicurezza interessa anche le versioni precedenti del software di Mozilla. La falla potrebbe consentire ad un sito malintenzionato di "impersonare" un sito autentico ed impostare per conto di quest'ultimo un cookie sulla macchina attaccata e nell'ambito di attacchi cross-window e cross-frame di compromettere le informazioni scambiate tramite Ajax.

Zalewski afferma nel suo advisory full-disclosure: "Esiste un seria vulnerabilità in Mozilla Firefox, verificata nella versione 2.0.0.1, che quasi certamente interessa tutte le più recenti versioni del prodotto. Il problema risiede nel modo in cui Firefox gestisce le scritture della proprietà

DOM 'location.hostname'. Tramite l'uso di uno script è possibile impostare questa proprietà ad un valore che non sarebbe altrimenti accettato come hostname durante il parsing di un URL regolare, includendo un stringa che contiene \x00. Facendo questo si provoca un particolare comportamento: internamente, le variabili stringa DOM sono NUL-terminated, e quindi la maggior parte dei controlli considerano un fantomatico 'evil.com\x00foo.example.com' come parte del dominio *.example.com. Il risolutore DNS, tuttavia, e gran parte del restante codice del browser, operano invece su stringhe ASCIZ native a C/C++, trattando l'esempio precedente come 'evil.com'. Questo permette a evil.com di modificare la proprietà location.hostname come descritto, ed inviare la richiesta HTTP risultante sempre a evil.com. Una volta caricata la nuova pagina, l'attacker sarà in grado di settare un cookie per *.example.com ed eventualmente manomettere il document.domain di conseguenza, in modo da bypassare la policy "same-origin" per XMLHttpRequest e accesso dati cross-frame/cross-window".

Zalewski ha anche reso disponibile una pagina di test che permette di verificare il funzionamento dell'exploit e la presenza della vulnerabilità nel browser. Dopo aver eseguito il PoC è possibile verificare l'esistenza del cookie coredump.cx (Strumenti – Opzioni – Privacy – Mostra Cookie). Per funzionare l'exploit necessita che il browser abbia Javascript attivo ed accetti cookie di sessione. Secondo Zalewski l'impatto di questa falla di sicurezza potrebbe essere alquanto grave: siti nocivi sono in grado infatti di manipolare i cookie di autenticazione di pagine third-party, e, bypassando la policy "same-origin", di modificare funzionamento e visualizzazione di questi siti.

Zalewski ha segnalato il problema al team Mozilla, che ha immediatamente aperto una pratica bug su BugZilla (370445). Nel giro di poche ore gli sviluppatori hanno già prodotto il codice necessario per la correzione del problema e poco fa il bug è stato segnato come "risolto" ed il fix è stato integrato nel trunk e nei rami di codice 1.8.0.10 e 1.8.1.2. Vista la gravità del problema, il fix sarà già reso disponibile con le imminenti "security release" per Firefox 1.5 e 2.0, rispettivamente gli aggiornamenti 1.5.0.10 e 2.0.0.2, attualmente previsti per il 21 Febbraio prossimo. In questo caso potrebbe esserci un ulteriore lieve delay sulla schedule di release considerato che il test sulle RC non aveva evidenziato stopper bug e che era già stato avviato il processo di realizzazione delle build l10n.

Nel frattempo il team di Mozilla suggerisce un workaround temporaneo di protezione: Digitate about:config nella barra degli indirizzi per accedere alle preferenze avanzte del borwser; Cliccate con tasto destro del mouse su qualsiasi voce e selezionate Nuovo->Stringa; Scegliete capability.policy.default.Location.hostname.set come nome dell'impostazione; Inserite come valore noAccess; Riavviate Firefox.

Ricordiamo che dopo 1/2 settimane dal rilascio di Firefox 1.5.0.10 e 2.0.0.2, Mozilla offrirà anche, agli utenti Firefox 1.5.x, il "major upgrade" automatico alla versione 2.0.x del browser. Attualmente infatti gli utenti Firefox 1.5.x che vogliono eseguire l'upgrade devono necessariamente scaricare ed installare manualmente Firefox 2.0.x. Mozilla ha già da tempo annunciato che Firefox 1.5.x sarà supportato solo fino al 24 Aprile prossimo, successivamente non saranno più rilasciati aggiornamenti di protezione e stabilità per questa versione del prodotto.

Pagina di test

Pratica bug su Bugzilla (370445)

"major upgrade"

Gergio · 16-02-2007, 15.56.28

(unite le discussioni)

16-02-2007, 11.24.18	#1
Giorgius Gold Member Top Poster Registrato: 26-08-2000 Loc.: tokyo city Messaggi: 8.374	F-Secure: Firefox Cookie Bug There's a new bug reported in the way Firefox handles writes to the 'location.hostname' DOM property. The vulnerability could potentially allow a malicious website to manipulate the authentication cookies for a third-party site. The bug was submitted by Michal Zalewski and was tested with the current version of Firefox... Leggi: http://www.f-secure.com/weblog/ A demo of the vulnerability and a suggested work-around can be found here: Test Bug: http://lcamtuf.dione.cc/ffhostname.html

16-02-2007, 13.44.55	#4
harman Hero Member Registrato: 19-09-2004 Messaggi: 980	E se fosse stato qui... E se fosse stato lì... ___________________________________ « Se sorgesse una società del demonio, che combattesse despoti e preti, mi arruolerei nelle sue file » (G.Garibaldi)

16-02-2007, 15.47.45	#5
josefh♣ Junior Member Registrato: 03-01-2007 Loc.: 64021 Messaggi: 64	Firefox falla cookie/same domain Michal Zalewski, noto ricercatore di sicurezza , ha segnalato e descritto due giorni fa una vulnerabilità di sicurezza critica in Firefox 2.0.0.1, la versione più recente del famoso browser open-source. Il problema di sicurezza interessa anche le versioni precedenti del software di Mozilla. La falla potrebbe consentire ad un sito malintenzionato di "impersonare" un sito autentico ed impostare per conto di quest'ultimo un cookie sulla macchina attaccata e nell'ambito di attacchi cross-window e cross-frame di compromettere le informazioni scambiate tramite Ajax. Zalewski afferma nel suo advisory full-disclosure: "Esiste un seria vulnerabilità in Mozilla Firefox, verificata nella versione 2.0.0.1, che quasi certamente interessa tutte le più recenti versioni del prodotto. Il problema risiede nel modo in cui Firefox gestisce le scritture della proprietà DOM 'location.hostname'. Tramite l'uso di uno script è possibile impostare questa proprietà ad un valore che non sarebbe altrimenti accettato come hostname durante il parsing di un URL regolare, includendo un stringa che contiene \x00. Facendo questo si provoca un particolare comportamento: internamente, le variabili stringa DOM sono NUL-terminated, e quindi la maggior parte dei controlli considerano un fantomatico 'evil.com\x00foo.example.com' come parte del dominio .example.com. Il risolutore DNS, tuttavia, e gran parte del restante codice del browser, operano invece su stringhe ASCIZ native a C/C++, trattando l'esempio precedente come 'evil.com'. Questo permette a evil.com di modificare la proprietà location.hostname come descritto, ed inviare la richiesta HTTP risultante sempre a evil.com. Una volta caricata la nuova pagina, l'attacker sarà in grado di settare un cookie per .example.com ed eventualmente manomettere il document.domain di conseguenza, in modo da bypassare la policy "same-origin" per XMLHttpRequest e accesso dati cross-frame/cross-window". Zalewski ha anche reso disponibile una pagina di test che permette di verificare il funzionamento dell'exploit e la presenza della vulnerabilità nel browser. Dopo aver eseguito il PoC è possibile verificare l'esistenza del cookie coredump.cx (Strumenti – Opzioni – Privacy – Mostra Cookie). Per funzionare l'exploit necessita che il browser abbia Javascript attivo ed accetti cookie di sessione. Secondo Zalewski l'impatto di questa falla di sicurezza potrebbe essere alquanto grave: siti nocivi sono in grado infatti di manipolare i cookie di autenticazione di pagine third-party, e, bypassando la policy "same-origin", di modificare funzionamento e visualizzazione di questi siti. Zalewski ha segnalato il problema al team Mozilla, che ha immediatamente aperto una pratica bug su BugZilla (370445). Nel giro di poche ore gli sviluppatori hanno già prodotto il codice necessario per la correzione del problema e poco fa il bug è stato segnato come "risolto" ed il fix è stato integrato nel trunk e nei rami di codice 1.8.0.10 e 1.8.1.2. Vista la gravità del problema, il fix sarà già reso disponibile con le imminenti "security release" per Firefox 1.5 e 2.0, rispettivamente gli aggiornamenti 1.5.0.10 e 2.0.0.2, attualmente previsti per il 21 Febbraio prossimo. In questo caso potrebbe esserci un ulteriore lieve delay sulla schedule di release considerato che il test sulle RC non aveva evidenziato stopper bug e che era già stato avviato il processo di realizzazione delle build l10n. Nel frattempo il team di Mozilla suggerisce un workaround temporaneo di protezione: Digitate about:config nella barra degli indirizzi per accedere alle preferenze avanzte del borwser; Cliccate con tasto destro del mouse su qualsiasi voce e selezionate Nuovo->Stringa; Scegliete capability.policy.default.Location.hostname.set come nome dell'impostazione; Inserite come valore noAccess; Riavviate Firefox. Ricordiamo che dopo 1/2 settimane dal rilascio di Firefox 1.5.0.10 e 2.0.0.2, Mozilla offrirà anche, agli utenti Firefox 1.5.x, il "major upgrade" automatico alla versione 2.0.x del browser. Attualmente infatti gli utenti Firefox 1.5.x che vogliono eseguire l'upgrade devono necessariamente scaricare ed installare manualmente Firefox 2.0.x. Mozilla ha già da tempo annunciato che Firefox 1.5.x sarà supportato solo fino al 24 Aprile prossimo, successivamente non saranno più rilasciati aggiornamenti di protezione e stabilità per questa versione del prodotto. Pagina di test Pratica bug su Bugzilla (370445) "major upgrade"

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Keygold Secure Internet Security gratis per 5 mesi	leofelix	Segnalazioni Web	0	26-06-2008 21.21.56
Firefox 1.0 ITA	Macao	Archivio News Software	117	22-11-2004 19.41.54
"Speciale Firefox 1.0"	Gigi75	Segnalazioni Web	8	10-11-2004 13.36.17
Mozilla Firefox 1.0 RC1	Gervy	Archivio News Software	10	28-10-2004 20.02.04
Mozilla Firefox 1.0RC PR	Gervy	Archivio News Software	19	20-09-2004 15.10.26

16-02-2007, 13.07.11	#2
Semi.genius Guest Messaggi: n/a	Uhm..se era di IE7, credo che in due ore questa pagina era piena

16-02-2007, 15.56.28	#6
Gergio Gold Member Registrato: 14-06-2001 Loc.: LC Messaggi: 2.415	(unite le discussioni)

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail